Heb zelf eens een test gedaan van Deloitte. Ok, ik haalde alle visjes eruit, maar wat bewijst dit dan weer? Er zijn voorbeelden van APT's die zo geraffineerd zijn opgezet, dat zelfs systeembeheerders erin trappen.

Ik zeg dus niet dat waarschuwen geen zin heeft. De vraag is hoe lang houd je als gebruiker vol als je de volle laag krijgt?

En geen links en bijlagen in E-mail, dan kun je namelijk niet via een link of bijlagen naar een phishing site gaan.
Maar ja we moeten het wel gemakelijk houden.

Het is belangrijk dat medewerkers van organisaties bewust zijn van de risico's die ze lopen. Als een medewerker in een bedrijf een phishing mail ontvangt, dan moet iedereen begrijpen dat het bedrijf 1 mm van een reële cyber-ramp af zit. Een klik op een verkeerde link en je zit vol met malware, of een cryptolocker versleuteld al je informatie. Dan maar hopen dat de laatste back-up recent is gemaakt en of die wel werkt. (Heeft u dat wel eens getest?) Wanneer realiseren bedrijven zich eens een keer dat een phishing mail een serieuze cyber-aanval is met mogelijk grote gevolgen. Alle security incidenten (ja, een phishing mail is een serieus security incident!) moeten daarom gemeld worden bij een centraal persoon in de organisatie. Alleen dan kan een IT/security manager na een tijd een goede inschatting maken van de dreigingen en het risico wat wordt gelopen.
Phishing mails zijn soms moeilijk te herkennen. Maar je kunt er veel uithalen. Als je personeel alleen al bewust is van de risico's en zich realiseren dat je niet overal zomaar op moet klikken wordt het risico op cybercriminaliteit sterk gereduceerd.
En nee, het risico zal nooit nul worden. Dat is waar. Maar als bstuurder van een bedrijf loop ik liever 10-15% risico dan 75-80%
Doe bijvoorbeeld eens een phishing test in je organisatie. Zo'n phishing simulatie geeft veel informatie. En dan weet je hoe kwetsbaar je bent! Groet, Rob Koch (Sebyde BV)